PPP over Ethernet with VPN Tác giả Lê Anh Đức PPP over Ethernet kết hợp với VPN Mô tả: Ở topo trên, ta có, R3 sẽ làm PPPoE client, còn R1 sẽ làm PPPoE server, thực hiện kết nối với các mạng trong Internet với ISP làm router giả lập ISP. Router R2 là router ở chi nhánh, thực hiện NAT để cho mang private ra internet. Chú ý: Các router R3, R1 là các route 2600, chạy IOS version 12.2 trở lên. Kết hợp với đó, ta sẽ tạo một tunnel private giữa R3 và R2, để các traffic từ các mạng LAN trong nội bộ giữa 2 chi nhánh sẽ sử dụng để liên lạc với nhau qua môi trường Internet. Cấu hình: R1 ! version 12.2 ! hostname R1 ! vpdn enable ! vpdn-group 1 accept-dialin protocol pppoe virtual-template 1 ! ! ! ! voice call carrier capacity active ! ! ! ! ! ! ! ! ! mta receive maximum-recipients 0 ! ! ! ! interface Loopback1 ip address 203.162.3.2 255.255.255.255 ! interface Ethernet0/0 no ip address half-duplex pppoe enable ! interface Serial0/0 ip address 203.20.20.2 255.255.255.252 no fair-queue ! interface Virtual-Template1 ip unnumbered Loopback1 ! ip classless ip route 0.0.0.0 0.0.0.0 203.20.20.1 ip http server ! ! ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end R2 Building configuration Current configuration : 1290 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! ! memory-size iomem 10 ip subnet-zero ! ! ! ! crypto isakmp policy 10  tạo các chính sách xác minh cho VPN (phải đồng bộ) hash md5 authentication pre-share crypto isakmp key cisco address 203.162.3.1  tạo key để xác minh ! ! crypto ipsec transform-set vnpro esp-des  tạo chính sách mã hoá cho luống traffic trong tunnel ! crypto map lee 10 ipsec-isakmp  tạo crypto map để match traffic set peer 203.162.3.1 set transform-set vnpro match address 120 ! ! ! voice call carrier capacity active ! ! ! ! ! ! ! ! ! mta receive maximum-recipients 0 ! ! ! ! interface Ethernet0/0 ip address 10.10.2.1 255.255.255.0 ip nat inside half-duplex ! interface Serial0/0 ip address 203.30.30.2 255.255.255.252 ip nat outside no fair-queue crypto map lee  áp crypto map vào interface S0/0 ! interface Serial0/1 no ip address shutdown ! ip nat inside source route-map nonat interface Serial0/0 overload tạo NAT ip classless ip route 0.0.0.0 0.0.0.0 203.30.30.1 ip http server ! ! access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 xác định traffic được mã hoá access-list 130 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 miễn NAT cho traffic trong tunnel access-list 130 permit ip any any ! route-map nonat permit 10 match ip address 130 ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end R3 Building configuration *Mar 1 01:25:49.913: %SYS-5-CONFIG_I: Configured from console by console Current configuration : 1523 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! ! memory-size iomem 10 ip subnet-zero ! ! ! vpdn enable bật PPPoE ! vpdn-group 1 tạo vpdn group để giao tiếp với server request-dialin  xác định đây là PPPoE client protocol pppoe ! ! crypto isakmp policy 10  tạo chính sách xác minh hash md5 authentication pre-share crypto isakmp key cisco address 203.30.30.2  tạo key để xác minh ! ! crypto ipsec transform-set vnpro esp-des  xác định giải thuật mã hoá cho traffic trong tunnel ! crypto map lee 10 ipsec-isakmp  tạo crypto map để xác định traffci được mã hoá set peer 203.30.30.2 set transform-set vnpro match address 120 ! ! ! voice call carrier capacity active ! ! ! ! ! ! ! ! ! mta receive maximum-recipients 0 ! ! ! ! interface Loopback0 ip address 10.10.1.1 255.255.255.0 ip nat inside ! interface Ethernet0/0 no ip address half-duplex pppoe enable bật PPPoE trên interface nối với server pppoe-client dial-pool-number 1  sử dụng Dieler để giao tiếp với PPPoE server ! interface Serial0/0 no ip address shutdown no fair-queue ! interface Dialer1  xây dựng interface Dialer mtu 1492 ip address 203.162.3.1 255.255.255.0 ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 crypto map lee  gán crypto map vào interface này ! ip nat inside source route-map nonat interface Dialer1 overload sử dụng PAT [...]... hình PPPoE: PPP over Ethernet là một sự phát triển dựa trên kỹ thuật PPP truyền thống PPPoE cung cấp khả năng kết nối nhiều host trong mạng qua một thiết bị chuyển mạch vào một DSLAM, để cung cấp một kết nối PPPoE, mỗi phiên PPP phải học địa chỉ Ethernet của remote peer và thiết lập một danh định duy nhất PPPoE gồm 2 pha: Discovery và Session: • • Discovery: khi một router muốn khởi tạo 1 phiên PPPoE,... PPPoE Session-ID Trong quá trình này, CPE sẽ tìm các DSLAM và chọn một cái để sử dụng Khi quá trình này chấm dứt, cả CPE và DSLAM đều sẽ có thông tin mà nó sử dụng để xây dựng kết nối PPPoE Khi PPPsession được thiết lập thì cả CPE và DSLAM sẽ phải phân phát tài nguyên của mình cho một PPP virtual interface Session: khi được thiết lập thì dữ liệu sẽ được gửi Để cấu hình, ta thực hiện các bước sau: PPPoE... virtual-template 1 tạo virtual template R1(config-if)#ip unnumbered lo1 PPPoE client(R3): R3(config)#vpdn enable R3(config)#vpdn-group 1 R3(config-vpdn)#request-dialin xác định PPPoE client R3(config-vpdn-req-in)#protocol pppoe R3(config)#int e0/0 R3(config-if)#pppoe enable bật PPPoE trên interface nối với server R3(config-if)#pppoe-client dial-pool-number 1 sử dụng dialer 1 để giao tiếp với server... R1(config)#vpdn enable bật PPPoE R1(config)#vpdn-group 1 R1(config-vpdn)#accept-dialin xác định đây là PPPoE server R1(config-vpdn-acc-in)#protocol pppoe R1(config-vpdn-acc-in)#virtual-template 1 sử dụng virtual để giao tiếp với client R1(config-vpdn-acc-in)#exit R1(config)#int lo1 R1(config-if)#ip add 203.162.3.2 255.255.255.255 R1(config-if)#int e0/0 R1(config-if)#pppoe enable bật PPPoE trên interface... CD AB Dựa vào debug trên, ta thấy quá trình discovery và session diễn ra như trên debug Tương tự như trên PPPoE server, ta cũng test y như trên client: R1#sh vpdn %No active L2TP tunnels %No active L2F tunnels %No active PPTP tunnels PPPoE Tunnel and Session Information Total tunnels 1 sessions 1 PPPoE Tunnel Information VPDN group: 1 Session count: 1 PPPoE Session Information SID RemMAC LocMAC Intf... R1#debug vpdn pppoe-data PPPoE data packets debugging is on R1# khi client ping ra ngoài, ta sẽ thấy trên server xuất hiện debug sau: *Mar 1 00:56:26.538: PPPoE 1: O L:0004.c052.7ce0 R:0005.5e96.2cc0 Et0/0 FF 03 C0 21 09 6C 00 0C 04 E2 EC A9 00 00 00 CD *Mar 1 00:56:26.538: PPPoE 1: I L:0004.c052.7ce0 R:0005.5e96.2cc0 Et0/0 C0 21 0A 6C 00 0C 05 82 38 4E 00 00 00 CD *Mar 1 00:56:27.027: PPPoE 1: I L:0004.c052.7ce0... 203.162.3.1 255.255.255.0 R3(config-if)#ip nat outside R3(config-if)#encapsulation ppp R3(config-if)#dialer pool 1 R3(config-if)#dialer-group 1 R3(config-if)#exit R3(config)#dialer-list 1 protocol ip permit 2 Cấu hình VPN: Để thực hiện cấu hình VPN giữa 2 chi nhánh qua môi trường DSL, ta cũng thực hiện tương tự như các bài lab VPN trước: R2: R2(config)#crypto isakmp policy 10 R2(config-isakmp)#hash md5 R2(config-isakmp)#authentication... CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out R3#sh vpdn %No active L2TP tunnels %No active L2F tunnels %No active PPTP tunnels PPPoE Tunnel and Session Information Total tunnels 1 sessions 1 PPPoE Tunnel Information VPDN group: 1 Session count: 1 PPPoE Session... sessions 1 PPPoE Tunnel Information VPDN group: 1 Session count: 1 PPPoE Session Information SID RemMAC LocMAC Intf VASt OIntf VP/VC 1 0004.c052.7ce0 0005.5e96.2cc0 Vi1 UP Et0/0 R3#debug vpdn pppoe-data bật debug PPPoE PPPoE data packets debugging is on R3#debug ip nat và NAT IP NAT debugging is on R3#ping thực hiện ping mở rộng với source là Private LAN Protocol [ip]: Target IP address: 203.30.30.2 Repeat... lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ vnpro, } Interfaces using crypto map lee: Serial0/0 Tunnel0 2 Kiểm tra PPPoE: Ta sử dụng các lệnh show và debug để xem quá trình tạo kết nối và trao đổi dữ liệu như thế nào giữa client và server: R3#sh int Ethernet0 /0 is up, line protocol is up Hardware is AmdP2, address is 0005.5e96.2cc0 (bia 0005.5e96.2cc0) MTU 1500 bytes, BW 10000 Kbit, . PPP over Ethernet with VPN Tác giả Lê Anh Đức PPP over Ethernet kết hợp với VPN Mô tả: Ở topo trên, ta có, R3 sẽ làm PPPoE client, còn R1 sẽ làm PPPoE. 0 4 ! end Thực hiện: 1. Cấu hình PPPoE: PPP over Ethernet là một sự phát triển dựa trên kỹ thuật PPP truyền thống. PPPoE cung cấp khả năng kết nối nhiều